Текст книги "Сети города. Люди. Технологии. Власти"

Каждый тип технологических решений в системе умного города и специфические компоненты системы, включая диспетчерские системы SCADA (supervisory control and data acquisition) – промышленные системы, управляющие автоматизированными производственными процессами), сенсоры и микроконтроллеры интернета вещей, сетевые маршрутизаторы (роутеры) и телекоммуникационные переключатели открыты различным формам кибератак. Все важнейшие городские сервисы, включая электросети, водопровод и регулирование дорожного движения полагаются на системы SCADA, которые используются, чтобы управлять как функционированием предприятия, так и маршрутами перемещения материалов. Эти системы контролируют функционирование инфраструктуры в режиме реального времени и сигнализируют о необходимости вмешательства – как автоматизированного, так и с помощью операторов, – с целью изменить установки системы. Внедрение SCADA-систем началось еще в 1920‐е годы, однако широкое их использование развернулось в 1980‐е. Как следствие, многие системы устарели и содержат «вечные баги» (известные всем ошибки в программном коде, которые производитель не может или не собирается устранять). Функционирование многих SCADA-систем было нарушено хакерами, которые изменяли работу инфраструктуры, отключали обслуживание или воровали данные. Одна из последних наиболее печально известных хакерских атак была произведена сетевым червем Stuxnet в 2009 году, тогда система иранского завода по обогащению урана была заражена вредоносной программой, в результате чего несколько центрифуг были запущены с нарушением технических требований и сломались. К 2010 году о заражении своих систем Stuxnet сообщили 115 стран[240]240
  Zetter K. Countdown to Zero Day: Stuxnet and the Launch of the World’s First Digital Weapon. New York: Broadway Books, 2015.


[Закрыть].

Понятие «интернет вещей» относится к процессам связи машинно-читаемых объектов с уникальной идентификацией через интернет таким образом, чтобы они могли «коммуницировать» в большой степени автономно и автоматически. Некоторые объекты пассивны: их можно только отсканировать или обнаружить с помощью сенсоров (как, например, «умные» карты с чипами для прохода в здания или транспортные системы). Другие представляют собой более активно действующие устройства, включающие микроконтроллеры или активаторы.

Все виды объектов, которые раньше были «неодушевленными» – термостаты, бытовая техника, камеры наблюдения, системы освещения, – сейчас становятся сетевыми и «умными», они производят информацию о том, как их используют, и ими можно управлять на расстоянии.

Безопасность интернета вещей может быть на очень разном уровне. В некоторых системах нет шифрования, логинов и паролей, другие открыты для вредоносных программ, а их встроенные программы можно легко модифицировать.

Сложная система взаимозависимостей в сетях интернета вещей приводит к тому, что IoT имеет большую поверхность, открытую кибератакам, и многочисленные уязвимые места (примеры см. в таблице 1). Чтобы продемонстрировать степень уязвимости интернета вещей, провокативный проект Insecam.org предоставляет доступ к видео тысяч небезопасных «камер безопасности» городов по всему миру, доступных в публичном интернете[241]241
  Cox J. This Website Streams Camera Footage from Users Who Didn’t Change Their Password // Motherboard. 2014, 31 October. URL: http://motherboard.vice.com/read/this-website-streams-camera-footage-from-users-who-didnt-change-their-password.


[Закрыть]. Эти камеры можно отключить без возможности дистанционного включения[242]242
  Cerrudo C. An Emerging US (and world) Threat: Cities Wide Open to Cyber Attacks.


[Закрыть]. Другие исследователи показали, как взломать и взять под свой контроль системы «умного» освещения, создав этим потенциальную угрозу для личной безопасности горожан[243]243
  Chacos B. Osram’s Lightify Smart Bulbs Suffer from Several Serious Security Flaws // PC World. 2016, 27 July. URL: www.pcworld.com/article/3101008/connected-home/osrams– lightify-smart-bulbs-suffer-from-several-serious-security-flaws.html.


[Закрыть]. Наконец, инфраструктура интернета вещей может быть использована для совершения кибератак другого рода, как, например, случилось с Dyn (американская компания, предоставляющая сетевые сервисы. – Е. Л.-К.). Атака на нее осенью 2016 года привела к тому, что работа многих важных интернет-сайтов была нарушена из‐за Mirai (червь и ботнет), который захватил небезопасные устройства интернета вещей и использовал их, чтобы бомбардировать серверы Dyn[244]244
  Woolf N. DDoS Attack that disrupted Internet was Largest of its Kind in History // Guardian. 2016, 26 October. URL: www.theguardian.com/technology/2016/oct/26/ddos-attack-dyn-mirai-botnet.


[Закрыть].

Таблица 1. Потенциальные риски, связанные с технологиями интернета вещей

Технологии умных городов связаны друг с другом рядом коммуникационных технологий и протоколов, таких как 4G LTE (Long Term Evolution), GSM (Global System for Mobile communication), CDMA (Code Division Multiple Access), Wi-Fi, bluetooth, NFC (Near-Field Communication), ZigBee (открытый беспроводный стандарт) и Z-Wave (беспроводные коммуникации). Каждый их этих способов сетевого соединения и передачи данных имеет проблемы, связанные с безопасностью, из‐за которых данные могут быть перехвачены третьими лицами или открыт неавторизированный доступ к устройствам. Некоторые из этих протоколов настолько комплексны и замысловаты, что их использование сложно сделать безопасным. Подобным же образом телекоммуникационные переключатели, которые соединяют местную и дистанционную инфраструктуру интернета, печально известны слабыми местами и уязвимостями, среди которых возможность попасть в систему «с черного входа» (заложенная для производителей и операторов), а также коды доступа, которые редко обновляются[245]245
  Singh Indu B., Pelton Joseph N. Securing the Cyber City of the Future. P. 22.


[Закрыть]. Кроме того, из‐за превышения запланированной подписки, когда операторы беспроводной связи хотят максимально использовать возможности системы, не нарушая лицензию, сети способны обеспечить потребности лишь части подписчиков. Это значит, что в случае кризиса, когда волна спроса возрастает до размеров, которые система не в силах поддерживать, она не справляется с задачей связывать людей и вещи[246]246
  Townsend A. M. Smart Cities: Big data, civic hackers and the quest for a new utopia.


[Закрыть].

Делая умные города безопасными: превентивные меры и минимизация последствий

Очевидно, что технологии умных городов, применяемые сейчас, имеют многочисленные слабые места, которые будут использоваться с различными преступными целями. Поэтому ключевой вопрос касается того, как мы можем работать с этими уязвимостями, чтобы минимизировать угрозы и риски. На сегодняшний день общепризнанная стратегия предполагает широкомасштабные технические меры минимизации рисков, такие как контроль доступа, шифрование, стандарты IT-индустрии и протоколы безопасности, режимы внесения корректировок в ПО, а также курсы повышения квалификации для персонала. Хотя все эти меры имеют определенный положительный эффект, мы утверждаем, что безопасность умных городов становится делом первостепенной важности. Она требует широкого набора систематических мер, который включает как минимизацию последствий (уменьшение силы или интенсивности того, что уже случилось), так и предупреждение (недопущение, чтобы что-то случилось в будущем). Эти меры должны стать обязательными как для рыночных инициатив, так и для государственных исполнительных органов.

Как уже говорилось выше, технологии умных городов обычно создают обширные поверхности, открытые для кибератак, особенно в системах управления, которые содержат унаследованные от систем прошлых поколений компоненты и используют не обновляемое и не отлаживаемое старое ПО. Типичный подход к повышению безопасности систем умных городов всегда состоял в использовании комплекса хорошо известных технических решений. Это такие решения, например, как контроль доступа (логин/пароль, двухфазовая идентификация, биометрические показатели), поддерживаемые в хорошем состоянии качественно разработанные средства сетевой защиты (фаерволы), антивирусы и программы для обнаружения вредоносного ПО, качественное сквозное шифрование, регулярная отладка ПО, способность быстро реагировать с помощью «срочных» обновлений на случаи использования уязвимостей, аудиторские сквозные проверки, эффективные несетевые резервы и планы восстановления систем в случае ЧП[247]247
  Martínez-Ballesté A., Pérez-Martínez P. A., Solanas A. The Pursuit of Citizens’ Privacy: A Privacy-Aware Smart City is Possible // IEEE Communications Magazine. 2013. Vol. 51 (6). P. 136–141; Cerrudo C. An Emerging US (and world) Threat: Cities Wide Open to Cyber Attacks.


[Закрыть].

Стандартные технические аспекты безопасности системы ПО

Доступ:

• Эффективное «от и до» шифрование всех коммуникаций.

• Использование сильных паролей и серьезный контроль над входом в систему.

• Средства сетевой защиты (фаерволы).

• Аудиторские сквозные проверки.

Обновление:

• Новейшее оборудование, обеспечивающее проверку на вирусы и вредоносное ПО.

• Автоматически устанавливаемое обновление системы безопасности на все компоненты, включая встроенное программное обеспечение, другие программы, каналы коммуникации и интерфейсы.

Функциональность:

• Отключение ненужных функций.

• Полное резервное копирование данных и механизмов восстановления системы.

Дизайн:

• Отделение надежных ресурсов от ненадежных.

• Отсутствия слабых звеньев между компонентами.

• Установка защиты от отказа и возможности перехода на ручное управление на все системы.

Цель использования этих мер – максимально уменьшить потенциальную площадь атак и максимально увеличить надежность и упругость той поверхности, которая остается видимой. Кроме того, важно сделать ее способной к быстрому восстановлению в случае успешной атаки. Доступность этого комплекса мер может отличаться в зависимости от используемых технологий и продавцов. Более того, будучи системами с большим количеством компонентов, эти комплексы мер должны работать одинаково хорошо в любой своей точке, так как в целом сила инфраструктуры/компании определяется силой самого слабого звена. И наконец, часто комплекс защитных мер накладывается уже после того, как сама система была разработана, а не является неотъемлемой частью ее дизайна.

Эти технические решения часто «дорабатываются напильником» бдительным IT-персоналом, чья работа состоит в том, чтобы контролировать ежедневную работу системы, включая мониторинг безопасности и быстрое реагирование на новые кибератаки и взломы. Дополнительно весь персонал, работающий с ПО, должен проходить обучение и осваивать навыки, обеспечивающие безопасность, такие как использование сильных паролей и их регулярная смена, привычка к обновлению ПО, шифрование файлов, избегание фишинговых атак. К сожалению, такое обучение часто проводится лишь один раз. В дальнейшем соответствие уровня знаний и компетенций персонала наиболее актуальным требованиям безопасности не проверяется.

Хотя все эти меры безопасности имеют очевидную пользу, они далеки от того, чтобы быть законченными решениями, особенно когда значимость «умных» технологий для нормализации функционирования городов беспрецедентно возрастает. Вместо этого более систематический подход необходим как в отношении технологий, так и переподготовки персонала. В особенности подход security-by-design (безопасность как неотъемлемая часть системы), проактивный и превентивный (в отличие от ответных мер и коррективных подходов), должен продвигаться городскими властями и организациями, ответственными за менеджмент городов и обеспечение их технологической инфраструктуры. Подход security-by-design предполагает встраивание сильных мер защиты в систему с самого начала, а не надстраивание их на уже готовую систему. Таким образом, оценка рисков становится фундаментальной частью процесса дизайна, и все аспекты безопасности системы тщательно тестируются до того, как продукт начинает продаваться[248]248
  Lomas N. The FTC Warns Internet Of Things Businesses To Bake In Privacy And Security.


[Закрыть]. Такое тестирование включает «пилотную стадию» в лабораторных и полевых условиях, которая предполагает проверку безопасности продукта в условиях реального мира, а также в качестве части большой технологической сети (чтобы убедиться в обеспечении безопасности «от и до»). Подход security-by-design также предполагает постоянный мониторинг кибербезопасности, включая механизм мониторинга продуктов на протяжении всего их жизненного цикла, процесс непрерывной технической поддержки и отладки и процедуру предупреждения клиентов об обнаруженных рисках в системах безопасности.

На существующие городские системы ПО и инфраструктуры управления у всех продавцов должен запрашиваться полный комплект документов по безопасности, и предприниматься тщательное тестирование, чтобы выявить слабые места, осуществить отладку и обновить услуги на будущее с учетом повышенной безопасности. Это в особенности касается унаследованных систем. В случае, если системы не могут быть исправлены в процессе работы и в них остаются постоянные уязвимости, которые могут нарушить работу более современных важных систем, должны быть составлены четкие планы по обновлению или замене старого оборудования.

Мы считаем, что для обеспечения контроля рисков, связанных с технологиями умного города, необходимо формирование отдельной команды, отвечающей за кибербезопасность. Эта команда должна быть частью городской администрации и обладать специальными навыками и обязанностями, которые распространяются выше и дальше пределов ежедневной работы IT-администрации.

Работа этой команды должна включать:

– моделирование самых разных угроз и рисков;

– активное тестирование безопасности технологий умных городов (в отличие от простого просмотра и доверия уверениям продавца);

– проведение постоянной экспертизы безопасности;

– подготовку и проверку детальных планов действий на случай различных видов инцидентов, связанных с киберрисками;

– связь с департаментами управления городом и компаниями, администрирующими программы умных городов;

– координирование обучения персонала по вопросам, связанным с безопасностью.

Эта команда должна также составить компьютерное аварийно-спасательное подразделение, которое будет активно устранять возникающие инциденты в области кибербезопасности[249]249
  Cerrudo C. An Emerging US (and world) Threat: Cities Wide Open to Cyber Attacks.


[Закрыть]. Рутинной частью их работы должны стать консультации с продавцами оборудования, отвечающего за кибербезопасность, с тем чтобы обеспечивать понимание продавцами самых последних потенциальных угроз и направленных на их предупреждение технологических решений[250]250
  Nanni G. Transformational «Smart Cities»: Cyber Security and Resilience. Mountain View, CA: Symantec, 2013.


[Закрыть]. Кроме того, эта команда должна создать формальный канал для обратной связи по вопросам безопасности и проблемам этики, дающий возможность сообщать о багах и слабых местах в системе безопасности консультантам, ученым и представителям технологических компаний-партнеров. Первичная экспертиза безопасности должна проводиться как можно раньше, например на этапе выбора и комплектации оборудования, чтобы убедиться, что технологические решения соответствуют ожиданиям. Частью экспертизы должно быть определение возможности изоляции систем для уменьшения риска эффекта домино. Из-за ограничения затрат или отсутствия стратегического мышления лишь у небольшого количества городов в настоящий момент имеются команды, отвечающие за кибербезопасность, или компьютерные группы быстрого реагирования на чрезвычайные ситуации (computer emergency response team, CERT), и поэтому города плохо подготовлены к противодействию серьезным кибератакам. Кроме того, требуется качественное изменение в образовании и курсах по кибербезопасности для всех, кто вовлечен в программы создания умных городов. Профессиональное обучение в области кибербезопасности должно касаться всего штата городских администраций и поставщиков сервисов и инфраструктур, но в особенности тех, кто занимается поставкой, распространением и эксплуатацией технологий умных городов. Это важно, так как хотя система может обладать обширной и современной технологической защитой, эта защита может быть сведена к нулю социальными проблемами и человеческими ошибками. Подобным же образом такое обучение должно распространяться на разработчиков и продавцов, чтобы концепция security-by-design стала обязательной для стартапов, а также малого и среднего бизнеса, поскольку у них может не быть собственных возможностей для проведения экспертизы по кибербезопасности. В обоих случаях обучение должно стать частью постоянной программы профессиональной переподготовки, тогда штатные работники будут в курсе специфики работы современных технологий и их уязвимых мест и помогут ускорить распространение наиболее эффективных практик. Мы обнаружили очень мало свидетельств наличия таких широких программ переподготовки в области кибербезопасности городов, отличных от достаточно поверхностных ознакомительных курсов, которые проводятся только один раз при приеме на работу.

Заключение

В этом тексте мы представили детальный анализ сложившейся ситуации в области безопасности умных городов. Ирония в том, что технологии умных городов продвигаются как эффективный способ противодействия неопределенности и менеджмента рисков в современном городе, но парадоксальным образом создают новые риски для городских инфраструктур и сервисов, которые становятся «хрупкими», открытыми широким формам вандализма, дестабилизации и преступным действиям. Этот парадокс сейчас, как правило, игнорируется представителями коммерческих и правительственных организаций. Если же они и пытаются предупреждать негативные последствия распространения смарт-технологий в городе, то лишь старомодными способами. Возможно, в этом нет ничего удивительного. Мы выделили пять видов проблем и в деталях описали масштаб кибератак на городскую инфраструктуру и сервисы, представив примеры взлома смарт-систем. Тем не менее широко известно, что бóльшая часть кибератак в настоящий момент успешно отражается с помощью инструментов кибербезопасности и практик менеджмента, а разрушительные последствия локальны и не критичны в долгосрочной перспективе[251]251
  Singer Peter W., Friedman A. Cybersecurity and Cyberwar.


[Закрыть]. Действительно, несмотря на большое количество попыток, удачные кибератаки на системы города до сих пор явление относительно редкое, и когда они все-таки случаются, их последствия обычно длятся не более нескольких часов или связаны с кражами данных, а не созданием ситуаций, опасных для жизни. Но даже небольшие и непродолжительные нарушения, такие как отключение электричества на несколько часов или локальный транспортный коллапс, могут дорого стоить, быть причиной снижения продуктивности или утраченных возможностей, а потенциально – и представлять угрозу для жизни людей. Эти не столь масштабные сбои сигнализируют также о возможных в ближайшем будущем угрозах гораздо большего масштаба, поскольку злоумышленники постоянно совершенствуют методы взлома, а усовершенствование систем безопасности происходит гораздо медленнее.

Технологии умных городов сегодня уязвимы перед кибератаками и кибертерроризмом. Воспользоваться этой ситуацией можно разными способами. Более того, мы можем наблюдать своеобразную «гонку вооружений» между атакующими и защитниками, и возможно, серьезных взломов критически важной для города инфраструктуры пока удавалось избегать потому, что государственные структуры и преступные организации не хотят показывать, на что они способны, и боятся ответных действий со стороны противника[252]252
  Rainie L., Anders J., Connolly J. Cyber Attacks Likely to Increase.


[Закрыть]. В любом случае, слабость систем будет только увеличиваться в будущем. Мы убеждены, что существующие на данный момент стратегии борьбы со слабыми сторонами городских сетевых технологий удручающе не соответствуют времени и в основном полагаются на устаревшие стратегии предотвращения негативных последствий и решения, диктуемые рынком.

В качестве альтернативного решения мы предлагаем продвигать и расширять подход к предотвращению рисков, основанный на «встроенной безопасности» (security-by-design). Во-первых, этот подход должен распространяться на установку городом любых новых систем и ПО, включать многоуровневую проверку уже существующих городских инфраструктур и информационных систем, их профилактический ремонт и замену. Во-вторых, этот подход подразумевает создание в администрациях городов команд быстрого реагирования на угрозы кибер– и компьютерной безопасности, чьи профессиональные навыки и обязанности распространяются далеко за пределы общих обязанностей сисадминов. И в-третьих, должен произойти качественный скачок в уровне обучения и профессиональной переподготовки в области кибербезопасности для работников как общественного, так и коммерческого секторов.

Сейчас технологии умных городов регулируются в основном рынком. Необходимо разработать системы регулирования и менеджмента технологий умного города на уровне городских администраций, так как это поможет соединить одновременное внедрение новых технологий и новых стандартов безопасности, поддержать наиболее эффективные практики, контролировать муниципальную политику и контракты с третьими сторонами. Мы также считаем, что особое внимание должно уделяться превентивному подходу к безопасности, поскольку критически важные для города инфраструктуры имеют много «дыр» и к их безопасности не относятся серьезно до тех пор, пока не произойдет серьезный сбой или взлом.

Сегодня программы умных городов уже не свернуть, и большую часть городских сетевых технологий по всему миру невозможно изъять из практик муниципального управления. Тем не менее сейчас точно еще не поздно осознать масштаб новых рисков, разработать и внедрить стратегии и подходы для предотвращения угроз и смягчения негативных последствий, возникающих при создании умных городов. Мы уверены, что поставщики технических решений и муниципальные администрации не предпринимают должных мер, чтобы идентифицировать слабые места технологических систем города и разработать эффективные меры их защиты. Вандалы, преступники и террористы, без сомнения, продолжат совершенствовать свои методы поиска уязвимых мест в городских сетевых инфраструктурах, и поэтому мы должны не только наслаждаться удобствами умных городов, но и уделять гораздо больше внимания их безопасности.

Перевод Екатерины Лапиной-Кратасюк